Europe  +49 6227 69 82 40    Other Regions:  +1 (857) 756-2566
  info@tis.biz

Zahlungsbetrug – Wie Unternehmen sich dagegen schützen können

Man kann mittlerweile viel über die Chancen und die Gefahren der Digitalisierung lesen. Risiken gibt es grundsätzlich immer dann, wenn man befürchten muss, den eigenen Wettbewerbsvorteil zu verlieren oder zurückzufallen. Eines der größten Risiken stellt zweifellos die Cyberkriminalität dar. Angriffe auf IT-Systeme nehmen weltweit stetig zu. Einer vom Beratungsunternehmen PwC unter dem Titel „Global State of Information Security Survey 2016“ veröffentlichten Studie zufolge gab es allein im Jahre 2015 ein Anstieg um 38 Prozent. Richten sich diese Angriffe auf die Zahlungstransaktionen eines Unternehmens, so kann schnell dessen gesamte Existenz gefährdet sein. Sicherheitsmaßnahmen im Bereich der Treasury- und der Zahlungsprozesse sollten daher ganz oben auf der Agenda stehen. Jörg Wiemer, CEO von TIS, erläutert, wie Unternehmen für mehr Sicherheit sorgen können.

Wann ist grundsätzlich davon auszugehen, dass Zahlungsprozesse für ein Unternehmen zum Risiko werden können?

JW: Grundsätzlich kann jede Situation, in der nicht völlige Transparenz hinsichtlich der Bankverbindungen und der Aktivitäten herrscht, mit einem Risiko verbunden sein. In einem solchen Fall gibt es keine Klarheit, was die Cash-Positionen und die Liquidität anbelangt. Nehmen wir einmal an, dass eine Niederlassung zu Monatsbeginn zehn Millionen Dollar überweist. Werden diese Buchungen manuell durchgeführt und werden die Salden nur ein einziges Mal und dies zum Monatsende überprüft, so hat es dann womöglich ganze dreißig Tage gedauert, bis der Betrug festgestellt werden konnte. Zeit ist im wahrsten Sinne des Wortes Geld. Bei einer Treasury-Überwachung in Echtzeit können diese Vorgänge sehr viel früher festgestellt und oftmals auch bereinigt werden.

Es kann lange dauern, bis der Leiter einer Niederlassung Kenntnis von solchen Fällen erlangt.

JW: Das ist ja gerade das Problem: Die vorherrschende regionale Arbeitsteilung macht es Betrügern leicht. Werden die ausgedruckten Kontoauszüge vor Ort in der jeweiligen Niederlassung gesammelt, so kann es Wochen dauern, bis die Verantwortlichen in der Hauptverwaltung merken, dass ein Kontoauszug fehlt und mit diesem fehlenden Kontoauszug liegen dann auch nicht die ausgedruckten Kontobewegungen vor. Aus genau diesem Grund sollten Unternehmen sämtliche Kontoauszüge zu allen Bankkonten weltweit automatisiert sammeln und mit einer Software wie die von TIS Liquiditätspositionen in Echtzeit analysieren können.

Wodurch wird Betrug sonst noch begünstigt?

JW: Betrug ist immer dann möglich, wenn es keinen vollständigen Überblick über die Signaturberechtigungen gibt und wenn bei Zahlungsvorgängen oder bei der Verwaltung der Zahlungsempfänger und grundsätzlich bei jeder Benutzerverwaltung, die ja in besonderem Maße betrugsanfällig ist, das Vieraugenprinzip nicht eingehalten wird. Das sind die typischen Einfallstore für Betrug.

Wie kann ich feststellen, ob bei mir das Risiko besonders hoch ist?

JW: Ein zuverlässiger Indikator für ein geringes Sicherheitsniveau bei Zahlungstransaktionen ist ein hoher Anteil manuell getätigter Transaktionen. Es wird in der Regel davon ausgegangen, dass jede Zahlung nach den bewährten Verfahren im Buchhaltungssystem erfasst wird – also keine Verbuchung ohne Beleg und keine Zahlung ohne eine vorherige Verbuchung. Allerdings kann es unter bestimmten Umständen zu Ausnahmen und Abweichungen von diesem Grundsatz kommen. Das Stichwort lautet hier „Ausnahmebehandlung“ und die ist mit einer manuellen Zahlung verbunden. In Fällen solcher Art bedarf es einer Ausnahme und dazu gehört eine umfassende Prozessdokumentation. Die Möglichkeit der Aufzeichnung und der Genehmigung von nichtautomatischen Zahlungen  sollte auf bestimmte Zahlungsempfänger und auf interne Benutzergruppen beschränkt sein. Darüber hinaus sollte ein Benutzer nur Zahlungsvorlagen verwenden dürfen, die vorab freigegeben wurden und nicht geändert werden können.

Wie können Unternehmen die Risiken verringern?

JW: Die Faustregel lautet, dass konzernweit grundsätzlich nur standardisierte und automatisierte Prozesse Anwendung finden sollten. Zahlungsbezogene Tätigkeiten können durchaus auf lokaler Ebene durchgeführt werden; sie sollten jedoch auf einen standardisierten und automatisierten Prozess gestützt sein. Ein zentrales Register aller vorhandenen Konten sollte es in jedem Unternehmen geben, ebenso wie eine Zahlungs-Governance. Sicherheit bei Zahlungstransaktionen beginnt mit einer professionellen Verwaltung der Bankkonten. Andernfalls laufen die Verantwortlichen Gefahr, dass missbräuchliche Zahlungstransaktionen über Konten laufen, die nicht im Hauptbuch erfasst sind. Der nächste Schritt besteht in der Zentralisierung der Zahlungstransaktionen. Digitale Zahlungsplattformen wie TIS bündeln die Zahlungsströme und standardisieren und automatisieren sie. Auf diese Weise können Zahlungsvorgänge und Zahlungsströme jederzeit kontrolliert werden.

Wie haben Zahlungen bisher in der Praxis ausgesehen?

JW: Uneinheitlich und verwirrend. Die Realität in den Unternehmen sieht so aus, dass für die Handhabung der Bankverbindungen unterschiedliche Systeme und Onlinebanking-Tools in den verschiedenen Teilen der Organisation zum Einsatz gelangen. Zahlungen werden dann durch das SAP-System generiert. Das ist kompliziert und komplex, und es gibt viele verschiedene Protokolle und Formate. Die Folge sind hohe Kosten und ein erhöhtes Betrugsrisiko.

Welchen Lösungsansatz schlägt TIS angesichts dessen vor?

JW: Wir stellen insbesondere mittleren und großen Unternehmen aller Branchen eine Plattform für Zahlungstransaktionen zur Verfügung. Die Plattform verbindet das unternehmenseigene Buchhaltungssystem mit der betreffenden Bank; sie steht zwischen den Kernsystemen, die der Kunde nicht ändern muss, und der Bank. Die Plattform bildet die einzige Kontaktstelle und ermöglicht die unternehmensweite Vereinheitlichung aller automatisierten und standardisierten Zahlungstransaktionen. Das Management, die Überwachung und die Analyse der Zahlungstransaktionen werden dadurch enorm vereinfacht.

Die TIS-Lösung wird ausschließlich in der Cloud betrieben. Wie sieht es mit der Kontrolle und der Sicherheit der gespeicherten Daten aus?  

JW: Ein Server an sich ist entweder sicher oder er ist es nicht; das hat nichts damit zu tun, ob er in einer Cloud oder bei Ihnen vor Ort läuft. Es ist ja durchaus möglich, sich mit den Banking Tools eines Unternehmens von irgendwo aus in einen unternehmenseigenen Server einzuwählen, solange die betreffende Person die entsprechende Autorisierung besitzt oder genug kriminelle Energie aufbringt. Der Server muss deshalb mit den modernsten Technologien dauerhaft vor unberechtigtem Zugriff geschützt werden. Die großen Datenzentren, mit denen TIS auch zusammenarbeitet, haben in dieser Hinsicht ganz andere Möglichkeiten als ein einzelnes Unternehmen. Lassen Sie mich bitte kurz etwas zum Online-Banking sagen: Die Vorstellung, dass Banking Tools, die auf einem privaten Notebook offline genutzt werden, irgendwie sicherer sind, ist illusorisch. Ein solcher Rechner bietet ein viel größeres Einfallstor für Viren und Trojaner als alle Onlinebanking-Lösungen, die in der Cloud betrieben werden. Es spricht doch für sich, dass in der letzten Zeit gerade aus der breiten Öffentlichkeit in zunehmender Zahl Fälle von Betrug beim Onlinebanking bei der Schweizer Melde- und Analysestelle Informationssicherung MELANI gemeldet werden.

Die richtige Software ist eine Sache. Was lässt sich aber tun, um sicherzustellen, dass mit dem Risiko angemessen umgegangen wird und dass die richtigen Methoden der Zahlungsverarbeitung Anwendung finden?   

JW: Es gilt, Richtlinien für eine angemessene Governance aufzustellen und zu implementieren. Unternehmen brauchen konzernweit gültige Regeln, nach denen Zahlungstransaktionen durchzuführen sind. Sie müssen in ihren Richtlinien bis ins Detail festlegen, wie Konten zu verwalten sind, wer neue Konten eröffnen darf, wer die Genehmigung dazu erteilt und welche Dokumente dafür benötigt werden. Es lassen sich leicht Beispiele dafür finden, was passieren kann, wenn das Unternehmen die Richtlinien nicht befolgt. Erinnern Sie sich noch an das, was dem Automotive-Zulieferer Leonie Mitte des Jahres 2016 widerfahren ist? Cyberkriminelle gelangten in den Besitz von Dokumenten und nahmen eine fremde Identität an. Auf diese Weise konnten sie 40 Millionen Euro von den Auslandskonten des Unternehmens entwenden.

Meine Empfehlung zur Risikominimierung? Stellen Sie Governance-Richtlinien auf und nutzen Sie eine zentrale Plattform für das Management der Bankkonten und der Zahlungstransaktionen. Durch automatisierte und standardisierte Prozesse können sich Unternehmen vor Manipulation und Betrug und letztlich vor finanziellen Verlusten schützen.

.


Jörg Wiemer
ist CEO der Treasury Intelligence Solutions GmbH.

Gewinnen Sie jetzt einen ersten Einblick in unsere Lösung!

In Blog
Share:
X